ELB/ALB 的 AWS 颁发(托管)TLS/SSL 证书
AWS-issued (managed) TLS/SSL certificate for ELB/ALB
当我创建一个 ELB(即 Application Load Balancer)时,Amazon 给它一个 DNS 名称,例如:
myalb-1472119708.eu-central-1.elb.amazonaws.com
现在,我想在我的 ALB 上终止 TLS/SSL,但是,我不想附加我自己的证书(例如来自证书管理器),我可以通过通过 HTTPS 的(ALB 的)默认 DNS 名称:
https://myalb-1472119708.eu-central-1.elb.amazonaws.com
但是,在默认配置下,我只能通过 HTTP 访问我的应用程序:
http://myalb-1472119708.eu-central-1.elb.amazonaws.com
AWS 支持这个吗(反问)?有计划在不久的将来添加此功能吗?谢谢。
更新:
毕竟这不是一个很难实现的特性。此外,SSL 是当今 运行(安全)网络应用程序的事实标准。我相信AWS可以为每个地区的ELB颁发通配符证书,例如:
*.eu-central-1.elb.amazonaws.com
然后默认将其附加到每个 ALB。或者发布每个区域的证书 ARN 列表。这将使开发人员从非生产项目的额外工作(购买域、在 ACM 中注册证书)中解放出来。
在撰写本文时,解决此问题的唯一方法是 运行 您的 ALB/ELB 在 CloudFront,它(与 ALB 不同)默认为您提供 TLS 证书:
User -> CloudFront edge location (HTTPS) -> ALB (HTTP) -> Backend (HTTP)
尽管 CloudFront 会产生额外费用,但除了缓存静态内容的能力外,CloudFront 还为您提供更快的 TLS 终止,这发生在其边缘位置,从而减少了前两次 TLS 握手往返的延迟(理论上为 2,但在低带宽客户端的情况下实际上是 3)。
当我创建一个 ELB(即 Application Load Balancer)时,Amazon 给它一个 DNS 名称,例如:
myalb-1472119708.eu-central-1.elb.amazonaws.com
现在,我想在我的 ALB 上终止 TLS/SSL,但是,我不想附加我自己的证书(例如来自证书管理器),我可以通过通过 HTTPS 的(ALB 的)默认 DNS 名称:
https://myalb-1472119708.eu-central-1.elb.amazonaws.com
但是,在默认配置下,我只能通过 HTTP 访问我的应用程序:
http://myalb-1472119708.eu-central-1.elb.amazonaws.com
AWS 支持这个吗(反问)?有计划在不久的将来添加此功能吗?谢谢。
更新: 毕竟这不是一个很难实现的特性。此外,SSL 是当今 运行(安全)网络应用程序的事实标准。我相信AWS可以为每个地区的ELB颁发通配符证书,例如:
*.eu-central-1.elb.amazonaws.com
然后默认将其附加到每个 ALB。或者发布每个区域的证书 ARN 列表。这将使开发人员从非生产项目的额外工作(购买域、在 ACM 中注册证书)中解放出来。
在撰写本文时,解决此问题的唯一方法是 运行 您的 ALB/ELB 在 CloudFront,它(与 ALB 不同)默认为您提供 TLS 证书:
User -> CloudFront edge location (HTTPS) -> ALB (HTTP) -> Backend (HTTP)
尽管 CloudFront 会产生额外费用,但除了缓存静态内容的能力外,CloudFront 还为您提供更快的 TLS 终止,这发生在其边缘位置,从而减少了前两次 TLS 握手往返的延迟(理论上为 2,但在低带宽客户端的情况下实际上是 3)。